2024-07-25 03:15 (목)
[MPIS 2024] 방지호 KCT 단장 “SBOM, 소프트웨어 투명성 확보…보안 사고 예방에 필수”
상태바
[MPIS 2024] 방지호 KCT 단장 “SBOM, 소프트웨어 투명성 확보…보안 사고 예방에 필수”
  • 길민권 기자
  • 승인 2024.06.04 15:24
이 기사를 공유합니다

MPIS 2024에서 방지호 단장이 SBOM 중요성에 대해 강연을 진행하고 있다.
MPIS 2024에서 방지호 단장이 SBOM 중요성에 대해 강연을 진행하고 있다.

데일리시큐 주최로 지난 5월 21일 더케이호텔서울에서 전국 국공립 의료기관 및 대학·민간 병원의 개인정보보호 및 정보보안 책임자와 실무자 300여 명이 참석한 '2024 의료기관 정보보안 컨퍼런스'(MPIS 2024)가 성황리에 개최됐다.

이 자리에서 한국기계전기전자시험연구원(KTC) 방지호 단장(스마트의료보안포럼 의료기기분과장)은 '의료기기 SBOM 동향'을 주제로 심도 있는 강연을 진행했다.

방지호 단장은 SBOM(Software Bill of Materials)의 정의와 필요성으로 강연을 시작했다. SBOM은 소프트웨어 구성 요소와 이들의 의존 관계를 명시한 문서로, 소프트웨어의 투명성을 높이고 보안 위험을 관리하는 데 필수적인 도구다. 방 단장은 2022년 분석된 1,703개의 코드베이스 중 87%가 보안 및 운영 위험 평가를 포함하고 있었으며, 그 중 54%는 라이선스 충돌 문제를 포함하고 있었다고 언급했다. 또한 31%의 코드베이스는 라이선스가 없는 오픈소스를 포함하고 있었고, 89%는 4년 이상 업데이트되지 않은 오픈소스를 포함하고 있었다고 덧붙였다.

이러한 결과는 의료기기 소프트웨어 개발 시 라이선스와 보안 관리를 더욱 철저히 해야 함을 의미한다. 방 단장은 SBOM을 통해 소프트웨어 구성 요소의 투명성을 확보하고, 이를 통해 보안취약점을 사전에 파악하여 보안 사고를 예방할 수 있다고 강조했다.

◆글로벌 SBOM 정책 및 동향

방 단장은 이어서 글로벌 SBOM 정책과 동향을 설명했다.

미국에서는 2022년 12월, 2023년 통합 세출법(Omnibus Law)에 따라 의료기기에 대한 SBOM 제출이 의무화되었다. 이 법안은 의료기기의 사이버 보안을 강화하기 위해 SBOM 제출을 포함한 다양한 요구사항을 명시하고 있다. 2023년 3월부터 시행된 이 법안은 미국 FDA가 의료기기 사이버 보안에 대한 공식적인 권한을 가지게 했으며, 의료기기 제조업체는 SBOM을 제출해야만 인허가를 받을 수 있게 되었다. 이는 미국이 의료기기 사이버 보안 분야에서 선도적인 역할을 하고 있음을 보여준다.

유럽에서는 의료기기 규정(MDR) 745/2017 부속서에 일반 안전 및 성능 요구사항이 나열되어 있으며, 부속서에는 6개의 명시적인 사이버 보안 요구사항이 포함되어 있다. 이 규정은 2017년 5월 25일에 채택되어 2021년 5월부터 발효되었지만, 코로나19와 업체의 준비 미흡으로 인해 2024년 5월 26일까지 시행이 연기되었다. 방 단장은 유럽에서도 SBOM 제출이 곧 의무화될 것으로 예상된다고 언급했다.

한국에서는 2019년 12월, 식약처에서 '의료기기의 사이버보안 허가·심사 가이드라인'을 발표하면서 네트워크에 연결된 의료기기에 대해 사이버 보안 적용을 요구하고 있다. 2022년 1월과 2023년 7월에 개정된 이 가이드라인은 IMDRF의 사이버 보안 가이드라인을 국내 환경에 맞게 적용한 것이다. 또한 2024년 5월에는 국정원, 과기정통부, 디지털플랫폼정부위원회에서 'SW 공급망 보안 가이드라인 1.0'을 발표하여 소프트웨어 공급망 보안을 강화하려는 노력이 이어지고 있다.

◆SBOM의 세부 요소와 적용 방법

방 단장은 SBOM의 세부 요소와 이를 어떻게 적용할 수 있는지에 대해서도 상세히 설명했다. SBOM에는 작성자 이름, 타임스탬프, 소프트웨어 컴포넌트 벤더, 소프트웨어 컴포넌트 이름, 소프트웨어 컴포넌트 버전, 유일한 식별자, 관계, 컴포넌트 해시 등이 포함되어야 한다. 이러한 정보는 소프트웨어 구성 요소를 명확히 식별하고, 보안 취약점을 신속히 파악하는 데 도움이 된다.

또한, SBOM을 활용하는 다양한 방법을 소개했다. SBOM은 개발 중인 소프트웨어의 구성 요소를 관리하고 제조사에서 이를 업데이트하여 고객에게 제공할 수 있다. 특히 API를 통해 중앙 집중식으로 관리되는 SBOM은 고객이 정보를 쉽게 접근할 수 있게 하고, 자동화된 프로세스로 활용할 수 있어 매우 효율적이다. 그는 중앙 집중식 저장소를 통해 고객이 정보에 접근할 수 있는 간소화된 방법을 제공할 것을 제안했다.

◆SBOM의 필요성 및 향후 전망

방 단장은 SBOM이 소프트웨어 개발과 유지보수 과정에서 공급망 투명성을 제공하고 위험 관리를 강화하며 취약점을 식별하고 관리하는 중요한 도구임을 강조했다. 이를 통해 기업은 보안과 안전성을 강화하고, 소프트웨어 라이프사이클 전반에 걸쳐 안전한 결과를 달성할 수 있다. 그는 SBOM의 도입이 의료기기뿐만 아니라 다양한 산업에서 필수적이 될 것이라고 전망했다.

보다 상세한 내용은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

이번 MPIS 2024는 보건복지부, 대한병원정보보안협회 등의 후원으로 개최됐다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★